Trojaner entfernen

Man muss alles einmal ausprobiert haben. Auch beim bloßen Entpacken eines RAR-Archives über das Kommandozeilenprogramm unrar.exe können anscheinend schon Dateien ausgeführt werden. Besonders uncool ist es, wenn es sich dabei um Adware, Spyware oder wie auch immer man diesen Müll nennt handelt.

Nach dem Entpacken eines solchen Archives hatte sich ein Plugin mit dem Namen Adware.MaxSearch im Internet Explorer und Mozilla Firefox eingenistet, wobei letzterer damit zum Glück nichts anzufangen wusste. Der Internet Explorer zeige sofort eine fingierte Warnmeldung an, dass mein Rechner möglicherweise infiziert sei, was ja auch stimmte, und ich mir am besten irgendeine dubiose Anti-Antiviren-Software herunterladen und installieren sollte. Natürlich vertraue ich Norton AntiVirus mehr und brauche kein zweiten Virenscanner und habe deshalb in den angezeigten Dialogfenstern immer auf Nein und Abbrechen geklickt, um der Schadroutine auszuweichen. Im letzten der drei Fenster stand nur noch OK als Antwort auf die Empfehlung, das zwielichtige Programm herunterzuladen, zur Verfügung. Der Dialog zum Speichern der Datei, diesmal über den als Standard eingerichteten Firefox, wurde zwar angezeigt, aber von mir abgebrochen, somit sollte die Sache gegessen sein.

Zur Sicherheit bin ich die Liste der laufenden Prozesse durchgegangen und habe in der Registry nach Programmen gesucht, die beim Systemstart ausgeführt werden, um den Auslöser für die Anzeige der Dialogfenster zu finden. Bei Dateinamen, die zu kryptisch und damit verdächtig waren und auch keine Versionsinformationen in den Eigenschaften enthielten, habe ich im Internet nach weiteren Informationen gesucht. Dadurch bin ich auf die WinTotal Spyware-Liste gestoßen, in der sowohl Schädlinge als auch seriöse im Hintergrund laufende Programme mit Dateinamen und Erklärung aufgeführt sind.

Während dieser Suche erschien das Dialogfenster noch zweimal, obwohl sich keine Anzeichen für ein versteckt geladenes Programm finden ließen. Zu diesem Zeitpunkt wusste ich aber nicht, dass sich bevor der ganz Zirkus überhaupt losging ein Plugin installiert hatte. So konnte sich dieses Spiel zweimal wiederholen, ohne dass offensichtlich ein Programm dafür zuständig ist. Mein Virenscanner und AdAware von Lavasoft, ein sehr empfehlenswertes Programm, fanden zwar Auffälligkeiten und entfernten sie. Leider war das Plugin selbst unverdächtig, da es lediglich eine Browsererweiterung ist und sich weiterer externer Programme oder DLLs bedient, die selbst vielleicht auch nicht verdächtig sind. Falls diese Programme von AdAware entfernt werden, werden sie vom Plugin wieder nachgeladen, so dass man das Plugin selbst loswerden muss. Einfaches Deaktivieren in den Optionen des Internet Explorer bringt nur wenig, und das Löschen ist selbst als Administrator nicht möglich, da sie sich dagegen schützen. Unter Umständen schafft man es doch mit Bordmitteln, wenn man als Pfad etwas in der Art

\.ProgrammeInternet Explorerpluginsplugin.dll

angibt. Dieser Trick stand bereits in der c’t, vielleicht finden sich auf der Website Informationen zu dieser Praktik. Vermutlich ist die schadhafte Software auch noch an anderen Stellen im System verwurzelt, so dass das auf diese Weise gelöschte Plugin wieder installiert werden würde.

Mittlerweile hatte ich mindestens acht Tabs geöffnet und war auf mehreren Seiten und Forenbeiträgen gleichzeitig unterwegs. In einem Beitrag wurden die anscheinend typischen Schritte bei der Beseitigung durchgegangen, nur leider finde ich genau diesen Beitrag nicht mehr. Einer der Schritte war, das kleine Programm VundoFix die Festplatte nach bekannten Schädlingen durchsuchen zu lassen. Gefundene Dateien werden entfernt, sofern es sofort möglich ist und keine Prozesse diese Dateien gerade verwenden. Sollte dies doch der Fall sein, startet sich VundoFix als erstes Programm nach der Anmeldung in Windows und blockiert die Ausführung weiterer Systemprogramme, um zum Einen die bereits gefundenen und nun nicht mehr aktiven Dateien löschen zu können. Zum Anderen wird zur Sicherheit ein zweiter Scan durchgeführt, nach dem man sicher sein kann, dass sich keine unerwünschten Programme mehr auf dem System befinden.

5 Gedanken zu „Trojaner entfernen

  1. http://www.hetrainsshetrains.com/

    Women with pcos please?hi there i have Pcos and ttc i was just wondering what your symptoms were how long it tokk you from diagnosis/fertility treatment/what kinda meds you on for pcos,,any news you have really im slightly confused alsso my gynae had me on metformin and now they stopped so im gunna start new treatment asap what do you think they will prescribe next thanxx ! xx

  2. lvm lebensversicherung ag fax

    We quit flying after 9/11. Not because we were terrified of terrorists, because we despised the level of infringement on our personal rights the government was willing to go to, in order to protect US. The super-patriot TSA pornographers are not going backwards in their zest to “expose” terrorists among US. The terrorists are on the back side of the camera. A little different “Angle” Ahm Sharron with you.

  3. http://www./

    Heya, I just hopped over to your site through StumbleUpon. Not somthing I would normally browse, but I appreciated your views none the less. Thanks for making some thing well worth reading.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>